Nguyễn Thành Công
Intern
Muc luc:
I. TỔNG QUAN VỀ NAT TRONG CHECK POINT
II. CẤU HÌNH SNAT ((HIDE NAT & STATIC NAT)
III. CẤU HÌNH DNAT (PORT FORWARDING & STATIC NAT)
IV. KẾT LUẬN
I. TỔNG QUAN VỀ NAT TRONG CHECK POINT
Check Point sử dụng NAT Rule Base độc lập với Access Control Policy. Có 2 kiểu NAT:
II. CẤU HÌNH SNAT (HIDE NAT & STATIC NAT)
1. Hide NAT (PAT) – nhiều IP nội bộ dùng chung 1 IP công cộng
Bước 1. Tạo Host Object cho IP công cộng
Vào SmartConsole → Objects.
Nhấn New > Host.
Tạo object như sau:
Bước 2: Sửa NAT của mang vlan 100
Vào lại object mang vlan 100.
Tab NAT:
Tick vào "Add Automatic Address Translation Rules
Source Translation: Hide
Hide behind: Chọn StaticNAT_IP (IP bạn vừa tạo là 203.0.113.10)
Nhấn OK.
Bước 3: Cài đặt policy
Nhấn Install Policy để áp dụng thay đổi.
2. Static NAT – 1:1 (giữa IP nội bộ và IP công cộng)
Tình huống: Máy chủ nội bộ 192.168.100.111 cần ánh xạ 1:1 với IP 203.0.113.200.
Tạo một host object cho máy chủ nội bộ 192.168.100.111
Trong phần NAT của object:
Bật "Add Automatic NAT"
Chọn Static NAT
Nhập IP công cộng: 203.0.113.200
Save và install policy.
Kết quả: Máy chủ nội bộ sẽ được ánh xạ toàn bộ sang IP công cộng 203.0.113.200.
III. CẤU HÌNH DNAT (PORT FORWARDING & STATIC NAT)
1. Port Forwarding (DNAT + Port Translation)
Mục tiêu:
Chuyển truy cập từ IP công cộng 203.0.113.10 cổng TCP 8080 đến máy chủ nội bộ 192.168.100.100 cổng TCP 80.
Bước 1: Tạo Host Object cho máy chủ nội bộ
Vào Objects > New > Host
Name: WebServer_Internal
IPv4 Address: 192.168.100.111
Nhấn OK
Bước 2: Tạo NAT thủ công
Vào Security Policies > NAT Rules
Nhấn Add Rule > Top/Bottom
Điền như sau:
Original Source: Any
Original Destination: 203.0.113.10
Original Service: TCP_8080
(Nếu chưa có, bạn tạo trong: Objects > Services > New > TCP → port 8080)
Translated Source: Original
Translated Destination: WebServer_Internal
Translated Service: HTTP (cổng TCP 80)
Install On: Chọn Gateway xử lý NAT
Comment: Port Forwarding TCP 8080 -> WebServer TCP 80
Nhấn OK
BƯỚC 3: Tạo Security Policy cho phép truy cập
Vào Security Policies > Access Control
Nhấn Add Rule
Source: Any
Destination: WebServer_Internal
Service: HTTP
Action: Accept
Install On: Gateway NAT
BƯỚC 4: Install Policy
Nhấn Install Policy
Chọn đúng Gateway
Xác nhận và chờ hoàn tất
Khi người dùng truy cập http://203.0.113.10:8080, Check Point sẽ NAT địa chỉ đích về 192.168.100.111:80.
2. Static Nat (Dịch Toàn Bộ Ip Công Cộng Về Ip Nội Bộ)
Tất cả lưu lượng đến 203.0.113.10 sẽ được chuyển đến máy chủ 192.168.100.111 – không cần dịch port.
Bước 1: Tạo Static NAT Object
Vào Objects > New > Host
Name: WebServer_StaticNAT
IP Address: 192.168.100.111
Chuyển qua tab NAT
Tích chọn "Add Automatic Address Translation Rules"
Chọn kiểu Static
NAT IP: 203.0.113.10
Nhấn OK
BƯỚC 2: Tạo Rule cho phép truy cập
Vào Security Policies
Add Rule:
Source: Any
Destination: WebServer_StaticNAT
Service: Các dịch vụ cần truy cập (HTTP, HTTPS, SSH, v.v.)
Action: Accept
BƯỚC 3: Install Policy
Nhấn Install Policy
Chọn đúng gateway và install
Kết quả:
Khi người dùng truy cập vào 203.0.113.10, Check Point sẽ NAT đích về 192.168.100.111, giữ nguyên các cổng dịch vụ (80, 443...).
IV. KẾT LUẬN
Bài lab đã cấu hình thành công SNAT (Hide NAT) giúp máy trong mạng 192.168.100.0/24 truy cập Internet thông qua IP công cộng 203.0.113.10. Đồng thời, cấu hình DNAT (Static NAT và Port Forwarding) cho phép máy bên ngoài truy cập dịch vụ nội bộ. Kết quả kiểm tra xác nhận NAT hoạt động đúng, log ghi nhận đầy đủ, đảm bảo truy cập hai chiều hiệu quả và an toàn.
I. TỔNG QUAN VỀ NAT TRONG CHECK POINT
II. CẤU HÌNH SNAT ((HIDE NAT & STATIC NAT)
III. CẤU HÌNH DNAT (PORT FORWARDING & STATIC NAT)
IV. KẾT LUẬN
I. TỔNG QUAN VỀ NAT TRONG CHECK POINT
Check Point sử dụng NAT Rule Base độc lập với Access Control Policy. Có 2 kiểu NAT:
- Source NAT (SNAT):
- Dịch địa chỉ nguồn nội bộ khi đi ra ngoài.
- Gồm:
- PAT (Hide NAT): nhiều IP nội bộ ra ngoài qua một IP công cộng.
- Static NAT: một IP nội bộ ánh xạ 1:1 với IP công cộng.
- Destination NAT (DNAT):
- Dịch địa chỉ đích từ bên ngoài vào nội bộ (thường để truy cập máy chủ nội bộ)
- Gồm:
- Port Forwarding: ánh xạ một cổng cụ thể từ IP công cộng vào IP nội bộ.
- Static NAT: ánh xạ toàn bộ IP công cộng vào IP nội bộ.
II. CẤU HÌNH SNAT (HIDE NAT & STATIC NAT)
1. Hide NAT (PAT) – nhiều IP nội bộ dùng chung 1 IP công cộng
Bước 1. Tạo Host Object cho IP công cộng
Vào SmartConsole → Objects.
Nhấn New > Host.
Tạo object như sau:
Name: StaticNAT_IP
IP Address: 203.0.113.10
Nhấn OK để lưu.
Vào lại object mang vlan 100.
Tab NAT:
Tick vào "Add Automatic Address Translation Rules
Source Translation: Hide
Hide behind: Chọn StaticNAT_IP (IP bạn vừa tạo là 203.0.113.10)
Nhấn OK.
Bước 3: Cài đặt policy
Nhấn Install Policy để áp dụng thay đổi.
2. Static NAT – 1:1 (giữa IP nội bộ và IP công cộng)
Tình huống: Máy chủ nội bộ 192.168.100.111 cần ánh xạ 1:1 với IP 203.0.113.200.
Tạo một host object cho máy chủ nội bộ 192.168.100.111
Trong phần NAT của object:
Bật "Add Automatic NAT"
Chọn Static NAT
Nhập IP công cộng: 203.0.113.200
Save và install policy.
Kết quả: Máy chủ nội bộ sẽ được ánh xạ toàn bộ sang IP công cộng 203.0.113.200.
III. CẤU HÌNH DNAT (PORT FORWARDING & STATIC NAT)
1. Port Forwarding (DNAT + Port Translation)
Mục tiêu:
Chuyển truy cập từ IP công cộng 203.0.113.10 cổng TCP 8080 đến máy chủ nội bộ 192.168.100.100 cổng TCP 80.
Bước 1: Tạo Host Object cho máy chủ nội bộ
Vào Objects > New > Host
Name: WebServer_Internal
IPv4 Address: 192.168.100.111
Nhấn OK
Bước 2: Tạo NAT thủ công
Vào Security Policies > NAT Rules
Nhấn Add Rule > Top/Bottom
Điền như sau:
Original Source: Any
Original Destination: 203.0.113.10
Original Service: TCP_8080
(Nếu chưa có, bạn tạo trong: Objects > Services > New > TCP → port 8080)
Translated Source: Original
Translated Destination: WebServer_Internal
Translated Service: HTTP (cổng TCP 80)
Install On: Chọn Gateway xử lý NAT
Comment: Port Forwarding TCP 8080 -> WebServer TCP 80
Nhấn OK
BƯỚC 3: Tạo Security Policy cho phép truy cập
Vào Security Policies > Access Control
Nhấn Add Rule
Source: Any
Destination: WebServer_Internal
Service: HTTP
Action: Accept
Install On: Gateway NAT
BƯỚC 4: Install Policy
Nhấn Install Policy
Chọn đúng Gateway
Xác nhận và chờ hoàn tất
Khi người dùng truy cập http://203.0.113.10:8080, Check Point sẽ NAT địa chỉ đích về 192.168.100.111:80.
2. Static Nat (Dịch Toàn Bộ Ip Công Cộng Về Ip Nội Bộ)
Tất cả lưu lượng đến 203.0.113.10 sẽ được chuyển đến máy chủ 192.168.100.111 – không cần dịch port.
Bước 1: Tạo Static NAT Object
Vào Objects > New > Host
Name: WebServer_StaticNAT
IP Address: 192.168.100.111
Tích chọn "Add Automatic Address Translation Rules"
Chọn kiểu Static
NAT IP: 203.0.113.10
Nhấn OK
BƯỚC 2: Tạo Rule cho phép truy cập
Vào Security Policies
Add Rule:
Source: Any
Destination: WebServer_StaticNAT
Service: Các dịch vụ cần truy cập (HTTP, HTTPS, SSH, v.v.)
Action: Accept
BƯỚC 3: Install Policy
Nhấn Install Policy
Chọn đúng gateway và install
Kết quả:
Khi người dùng truy cập vào 203.0.113.10, Check Point sẽ NAT đích về 192.168.100.111, giữ nguyên các cổng dịch vụ (80, 443...).
IV. KẾT LUẬN
Bài lab đã cấu hình thành công SNAT (Hide NAT) giúp máy trong mạng 192.168.100.0/24 truy cập Internet thông qua IP công cộng 203.0.113.10. Đồng thời, cấu hình DNAT (Static NAT và Port Forwarding) cho phép máy bên ngoài truy cập dịch vụ nội bộ. Kết quả kiểm tra xác nhận NAT hoạt động đúng, log ghi nhận đầy đủ, đảm bảo truy cập hai chiều hiệu quả và an toàn.
Bài viết liên quan
Được quan tâm
Bài viết mới